image

Juridische vraag: mag een bedrijf SSL-verkeer via zelfgemaakt certificaat filteren?

woensdag 28 januari 2015, 11:17 door Arnoud Engelfriet, 19 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Verschillende enterprise proxyfabrikanten bieden opties aan om ook SSL/TLS-verkeer te kunnen filteren door gebruik te maken van een eigen rootcertificaat, waarmee ze Man-in-the-Middle spelen. De gebruiker ziet als deze bijvoorbeeld naar zijn bank gaat een certificaat met de gegevens van de bank, maar uitgegeven door de proxyserver. Mag dat?

Antwoord: Het is technisch mogelijk voor een bedrijf om een geavanceerde firewall te installeren die ook SSL-beveiligd verkeer kan onderscheppen. De firewall doet zich naar bedrijfscomputers voor als bijvoorbeeld Gmail of Facebook (inclusief certificaat dat de bedrijfscomputer als veilig accepteert), en naar Gmail toe als de computer van de eindgebruiker.

Al het netwerkverkeer naar Gmail of Facebook komt nu op de firewall binnen en kan daar onversleuteld worden bekeken voordat het wordt doorgestuurd – of wordt weggegooid omdat het niet aan het bedrijfsbeleid voldoet. Ook kan er precies worden gelogd welke gebruiker hoe lang op welke dienst zit, welke bijlagen hij verzond via Gmail, of hij de bedrijfsnaam noemde in een statusupdate of Facebookchatbericht, en ga zo maar door.

Technisch gezien gaat het dan om vervalste certificaten, maar op zich is het in een bedrijfscontext niet strafbaar om zo'n certificaat te vervalsen zolang maar duidelijk is waarom je dit doet en er een legitieme reden is.

Een bedrijf heeft veel vrijheden in hoe zij het werk laat uitvoeren en welke middelen ze daarvoor inzet. Wanneer het gaat om privacygerelateerde zaken, is de belangrijkste eis dat je als bedrijf in je reglement (internetprotocol) duidelijk hebt aangegeven dat je dit doet en voor welke redenen.

Plus, je mag natuurlijk niet verder gaan dan nodig is voor die redenen. Ben je bang dat er bedrijfsgeheimen lekken, dan is een dagelijks rapportje over wie hoe lang FarmVille speelt natuurlijk nergens voor nodig. Mails waarin het omzetcijfer van het eerste kwartaal genoemd wordt, zouden daarentegen gerede vragen mogen oproepen bij het management.

Wel zou ik vooraf een duidelijke belangenafweging willen zien. Is het nu écht nodig om iedereen digitaal te fouilleren bij elk bezoekje aan een socialemediasite? Doe je dat aan de poort ook, als mensen naar huis gaan?

Het lijkt me dat je alleen digitaal mag fouilleren onder dezelfde omstandigheden dat je dat ook aan de poort zou doen. De diamantslijper of de accountant die je jaarcijfers aan het opmaken is, mag verwachten dat zijn tas (en jaszak) extra goed gecontroleerd wordt, net als de researchmedewerker die aan een nieuw prototype werkt. Maar de receptioniste fouilleren lijkt me héél moeilijk uit te leggen. Digitaal én bij de poort.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (19)
28-01-2015, 12:40 door Anoniem
Mijn eerste reactie is "maar ga dan ook niet zitten telebankieren op de computer van de baas", maargoed, dat is wat te kort door de bocht. Je kan je wel afvragen of dit soort maateregelen wel zin kunnen hebben. Ze zijn ernstig intrusief, hebben zwaarwegende argumentatie nodig, en zeggen nogal veel over hoe de baas de werkrelatie ziet. Maargoed, in dezelfde trant kan je je afvragen waarom er nog mensen bij de aldi werken, gezien het gewoon een hele nare tent is om voor te werken*, en toch bestaat de keten nog steeds.

Hoe dan ook, ik neem aan dat er geen expliciete wet danwel jurisprudentie over te vinden was, maar het geschetste principe lijkt wel duidelijk. Lijkt me dat je dan beter eerst maar eens goed moet nadenken waartegen je wie en ook wat wil beschermen, en wat voor gevolgen acceptabel zijn. Zou ik dit zonder meer tegenkomen als werknemer, dan zou ik hard op zoek gaan naar een andere baan, bijvoorbeeld.

Als werkgever zou ik daarentegen beginnen met het in het gebruiksreglement opnemen dat persoonlijk gebruik danwel toegestaan is, maar onder wederzijds begrip dat zulks van administratieve aard hoort te zijn** en dat de werkgever geen privacy garandeert omdat het bedrijfsgebruik vóór gaat.

Daarnaast is het wellicht een goed idee om veel meer in te zetten op "dataproperheid", en dus ook op begrip kweken bij werknemers wat wel en niet te doen met bedrijfsdata, en op robuustere software die zich niet makkelijk van achterdeurtjes laat voorzien (die je dan weer probeert te detecteren met MITM-software) en zo sterker beslagen ten ijs komt dan met het nogal domme en privacygevoelige inzetten van techniek om met iedereen over de schouder mee te gluren.

Wat dat betreft is dit gegoochel met certificaten een zwaktebod. Overigens schijnt het mij toe dat er allerlei (Amerikaanse) wetten en regels zijn die door bedrijven uitgelegd worden als een plicht tot precies weten wat er over je netwerk gaat, en dat er dus wel ontsleuteld moet worden om aan de regels te voldoen. Dus als je voor een bedrijf (uiteindelijk) in Amerikaanse handen werkt, best kans dat je niet onder het gegluur van je baas uitkomt, EU-burger of niet.


* Of om bij te komen inkopen --winkelen is het niet-- wat ik dus ook al een tijdje niet meer doe. Het concept is karig aanbod voor niet heel veel geld, maar uiteindelijk bleek de vijandigheid ook tegenover de klant het geldelijke voordeel mij toch niet waard.
** Wie wanneer thuiskomt, welke boodschappen nog te doen, dat soort zaken.
28-01-2015, 12:42 door Anoniem
Arnoud, je vergelijking loopt volgens mij een beetje mank omdat malware inspectie van verkeer via HTTP blijkbaar al wel gedaan en geaccepteerd is. Het toevoegen van SSL inspectie zorgt er alleen voor dat al het verkeer aan de zelfde inspectie wordt onderworpen in plaats van alleen http verkeer. Als je naar de fysieke wereld zou kijken zou dat betekenen dat je aan de poort medewerkers aan de ene ingang wel controleert en de andere ingang (achterdeur) niet. De praktijk wijst uit dat malware net zo makkelijk over tor of ssl werkt als over http. Het lijkt me dan ook een zeer legitiem argument om op alle kanalen de zelfde inspectie toe te passen en geen achterdeur open te laten staan zonder fysieke toegangscontrole als je blijkbaar aan de voordeur wel voldoende redenen hebt om te controleren. Uiteraard moet je dit wel vastleggen en duidelijk communiceren en duidelijke afspraken hebben over het doel (en eventuele retentie) van dit scannen. Automatisch op malware scannen zonder menselijke tussenkomst lijkt me heel wat acceptabeler dan dat een medewerker handmatig meekijkt of er geen bedrijfsgeheimen lekken... En ik snap de vergelijking met het digitaal fouilleren van de receptioniste niet. Als er ergens een computer is met grote kans op infecties is het de receptiecomputer wel waar de hele dag/nacht door op gesurft wordt... Jij suggereert dat dat niet voldoende reden is om dat verkeer op malware te controleren?
28-01-2015, 13:11 door Erik van Straten
@Arnoud, een belangrijke reden (die jij niet noemt) voor organisaties om SSL verbindingen "open te breken", is inkomend verkeer op malware te kunnen scannen. Met het toenemend aantal websites dat van http op https overstapt wordt dit een steeds belangrijker argument; iedereen, ook de recepioniste, kan malware op het bedrijfsnetwerk introduceren.

Zonder dit soort maatregelen ben je volledig afhankelijk van endpoint security, en dat wil nogal eens te wensen overlaten.

Wel vind ik dat een dergelijke maatregel duidelijk naar het personeel gecommuniceerd moet worden (helaas gebeurt dit niet altijd).

Overigens kunnen nieuwsgierige admins (al dan niet daartoe opgedragen), op basis van IP-adressen en plain-text verzonden SNI (Server Name Indication) zien welke websites men bezoekt, hoe lang de verbinding bestaat en hoeveel bytes worden uitgewisseld - ook al zijn dergelijke verbindingen grotendeels versleuteld.
28-01-2015, 14:07 door Anoniem
stap 1: bouw zelf zo'n proxy + certificaat
stap 2: arp poison de pc van de baas
stap 3: wanneer de baas surft naar z'n gmail en het certificaat melding krijgt klikt ie m weg.
stap 4: jat al zijn data en print het uit.
stap 5: gooi het op zijn bureau
stap 6: weg met die ssl proxy prut.

of

stap 1: haal tor
28-01-2015, 16:02 door Anoniem
Als je nou merkt dat de website van je bank niet het certificaat van de bank is (dus geen EV certificaat met de naam van de bank): ga dan dus niet door....
Meeste bedrijven die ik ken maken de uitzondering voor financiële instellingen, die certificaten zijn dan wel echt.

Ik ben eigenlijk wel eens benieuwd, als je toch doorgaat en iemand plundert je rekening hierdoor (immers is er een MiTM), wie is dan aansprakelijk?
28-01-2015, 16:17 door Anoniem
De implementaties waar ik mee te maken heb gehad hadden allen de mogelijkheid om bepaalde websites te excluden van deze vorm van filtering. Op die manier kan het bedrijf een whitelist/blacklist aanleggen en op die manier alleen controleren wat echt nodig is. Of dit ook gebeurd is de verantwoordelijkheid van de organisatie. Mocht een medewerker het er niet mee eens zijn dan kan er dus vast iets aanhangig gemaakt worden. Arnoud geeft zelf ook al aan dat mensen in bepaalde functies nou niets echt streng gecontroleerd hoeven te worden, maar anderen juist wel.

Zolang de werkgever transparant is over de exacte werking en implementatie, dan lijkt me dit niet iets waar je als medewerker moeite mee moet hebben. Het is geen verworven vrijheid om dit soort dingen op je werkplek te kunnen doen. We leveren er niets mee in.
28-01-2015, 16:21 door Anoniem
Het spijt me, maar mis is iets? Hoe kan de proxy server reageren zonder private key van de juiste host? Dat is juist de bedoeling van public/private key encryption
28-01-2015, 17:16 door Mapa
Door Anoniem: Het spijt me, maar mis is iets? Hoe kan de proxy server reageren zonder private key van de juiste host? Dat is juist de bedoeling van public/private key encryption
Dat doet ie dus niet. Hij reageert met een door zichzelf uitgegeven certificaat. Als je het slotje controleert staat er dan iets van "mail.google.com uitgegeven door JouwWerkgeverBV". In de certificate store die via een policy op je bedrijfscomputer werd uitgerold is het rootcertificaat van JouwWerkgeverBV gewoon getrust, dus jouw browser klaagt daar dan niet over.
28-01-2015, 17:21 door Anoniem
Door Anoniem: Mijn eerste reactie is "maar ga dan ook niet zitten telebankieren op de computer van de baas", maargoed, dat is wat te kort door de bocht.
Misschien wat flauw om te zeggen ja, maar dat zou ik sowieso zeggen. Naast dat de beveiliging van veel bedrijven onder de maat is en je niet weet wat voor een rommel(malware) op de computer van de baas staat, zijn er ook steeds meer meldingen over bedrijven die (al dan niet legaal) uitgebreide monitoringsoftware op hun computers installeren.
Ik kan me nog herinneren dat toen ik op de middelbare school zat, de systeembeheerder op ieders scherm kon 'meekijken' en het zou me ook niet verbazen als keystrokes werden gelogd.(Wat bij een SSL MitM natuurlijk niet eens nodig zou zijn.)
29-01-2015, 09:26 door Anoniem
Door Anoniem: Arnoud, je vergelijking loopt volgens mij een beetje mank omdat malware inspectie van verkeer via HTTP blijkbaar al wel gedaan en geaccepteerd is. Het toevoegen van SSL/TLS inspectie zorgt er alleen voor dat al het verkeer aan de zelfde inspectie wordt onderworpen in plaats van alleen http verkeer.

Er is wel degelijk verschil:
- de gebruiker verwacht door gebruik van TLS ('het slotje') dat zijn gegevens beveiligd zijn, niet ingezien kunnen worden door derden. Dat stukje awareness is er eindelijk een beetje ingeslopen (Veilig bankieren etc). DIt betekend dat op zijn minst in beleid, bekend aan en zo mogelijk ondertekend door de gebruiker, vastgelegd moet zijn wat er binnen het bedrijf met zijn 'veilig' verkeer gebeurt.
- Verder kan de gebruiker constateren dat er 'iets niet met het certificaat klopt', het cert komt niet overeen met de verwachtte uitgever. Duidelijkheid vooraf voorkomt productiviteitsverlies.
- Een meer technisch puntje: niet alle applicaties laten zich foppen door een 'fake' certificaat.Denk aan hard-coded certificaat controle (pinned certificates) zoals in webbrowsers voorkomt.
- Buiten de privacy context mag bepaald verkeer om andere redenen niet gedecrypt worden. Denk aan financiele gegevens met bijbehorende regelgeving. Het TLS inspectiedevice moet dus volgens beleidregels kunnen werken (bv bankensites niet decrypten). En gezien de businessdynamiek flexibel met policies om kunnen gaan. De zelf gesleutelde proxy met statische regels zal hier al snel te veel beheerinspanning en incidenten opleveren.

Als je naar de fysieke wereld zou kijken zou dat betekenen dat je aan de poort medewerkers aan de ene ingang wel controleert en de andere ingang (achterdeur) niet.

Nee, het is dezelfde deur. TLS is te vergelijken met een tas van de werknemer die nu bij de uitgang geinspecteerd wordt. Daarvan is bekend dat eea in beleid vastgelegd moet zijn, en dat het op basis van redelijkheid moet gebeuren.

De praktijk wijst uit dat malware net zo makkelijk over tor of ssl werkt als over http. Het lijkt me dan ook een zeer legitiem argument om op alle kanalen de zelfde inspectie toe te passen en geen achterdeur open te laten staan zonder fysieke toegangscontrole als je blijkbaar aan de voordeur wel voldoende redenen hebt om te controleren. Uiteraard moet je dit wel vastleggen en duidelijk communiceren en duidelijke afspraken hebben over het doel (en eventuele retentie) van dit scannen. Automatisch op malware scannen zonder menselijke tussenkomst lijkt me heel wat acceptabeler dan dat een medewerker handmatig meekijkt of er geen bedrijfsgeheimen lekken...

Eens (behalve het deurenverhaal). Encrypt bij default is het credo. Dus is inspectie van SSL/TLS een noodzaak als je hetzelfde veiligheidsnivo wilt handhaven. Automatisering kan een groot stuk van privacy issues wegnemen, zolang geen gegevens opgeslagen worden.

Losse gerelateerde opmerkingen:
- locale (desktop) beveiligingsprogrammas doen dit ook (fake rootcert), zie bijvoorbeeld webshield van avast.
- de problematiek speelt vooral bij inspectie van uitgaand verkeer, door personen gegeneerd. Verkeer door machines (applicaties) en ingaand verkeer is minder problematisch.
29-01-2015, 09:45 door Anoniem
Ik vind dat de "juridische vraag" wel erg vaak neer komt op "mag een werkgever doen met zijn eigen spullen wat hij wil
of mag ik hem als werknemer mijn wil opleggen"...

Wellicht zou hier eens wat in gedifferentieerd kunnen worden.
29-01-2015, 11:21 door Anoniem
Het gebruik van valse certificaten is een van de meest gebruikte MITM-attacks. Hier is zelfs hardware voor verkrijgbaar, bijvoorbeeld van packet forensics. Voor veilige communicatie moet je je eigen certificaten genereren, bijvoorbeeld met true (quantum) generatoren. In het Freemove Quantum Exchange Systeem gebeurd dit reeds sinds 2007, zie bijvoorbeeld https://www.wuala.com/FreemoveQuantumExchange/Aspects voor additionele informatie.
29-01-2015, 11:52 door Anoniem
Volgens mij mag het wel. Wel dienen de werknemers vooraf hiermee akkoord te gaan.

Een probleem met dergelijke apparatuur is wel, dat er vaak veel informatie met de leverancier wordt gedeeld. Veel bedrijven zijn zich er niet van bewust.
29-01-2015, 13:42 door [Account Verwijderd]
Door Anoniem: stap 1: bouw zelf zo'n proxy + certificaat
stap 2: arp poison de pc van de baas
stap 3: wanneer de baas surft naar z'n gmail en het certificaat melding krijgt klikt ie m weg.
stap 4: jat al zijn data en print het uit.
stap 5: gooi het op zijn bureau
stap 6: weg met die ssl proxy prut.

of

stap 1: haal tor

De rest van de artikelen hier behandelen gelukkig legaliteit.. Donder op met je illegale muk.

Weer een reden om anonieme onzin eens goed te lezen voordat de mods 'm plaatsen, of is dat inbreuk op de privacy?
29-01-2015, 14:33 door Anoniem
Weer een reden om anonieme onzin eens goed te lezen voordat de mods 'm plaatsen, of is dat inbreuk op de privacy?

Hoezo, kan je als ''Nedfox'' niet dezelfde onzinnigheid plaatsen mocht je dat willen ? En is ''Nedfox'' dan jouw daadwerkelijke identiteit ? Ook jij bent anoniem.
29-01-2015, 14:37 door Anoniem
Buiten de privacy context mag bepaald verkeer om andere redenen niet gedecrypt worden. Denk aan financiele gegevens met bijbehorende regelgeving.

Die regelgeving heeft helemaal geen betrekking op het decrypten voor geautomatiseerde inspectie; de informatie wordt daarna gewoon weer netjes geencrypt. Indien je met dergelijke gegevens werkt, en je kunt niet detecteren indien dergelijke zaken uit je netwerk worden geexfiltreerd, dan heb je toch het een en andere uit te leggen.
29-01-2015, 14:38 door Anoniem
Het valt mij op dat Arnoud weinig stil lijkt te staan bij het feit dat monitoring zich niet enkel en alleen richt op de vraag of medewerkers zich misdragen, en wellicht regels overtreden, maar toch evenzeer op zaken als malware infecties, hacking incidenten, en ga zo maar door. En ja, ook de computer van de receptioniste kan compromised zijn door dergelijke zaken.
29-01-2015, 14:43 door Anoniem
Juridische vraag: mag een bedrijf SSL-verkeer via zelfgemaakt certificaat filteren?

Zou de vraagsteller er minder probleem mee hebben indien dat SSL certificaat ingekocht zou zijn bij een derde partij ?
30-01-2015, 08:11 door Erik van Straten
Door Anoniem:
Juridische vraag: mag een bedrijf SSL-verkeer via zelfgemaakt certificaat filteren?

Zou de vraagsteller er minder probleem mee hebben indien dat SSL certificaat ingekocht zou zijn bij een derde partij ?
Bij welke derde partij kan ik zo'n certificaat kopen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.